jwt原理(json web token)
我们之前是使用session实现登录,通过实际密码+盐组成字符串进行md5存入redis或者数据库中,输入的密码与实际校验通过,发送给客户端一个有效时间的token,期间可以实现登录访问了
而jwt无需通过redis或者存储在数据库中了,直接通过一串字符串就能拿到信息和时间
优势
'''
解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。
服务端无状态可以横向扩展,Token可完成认证,无需存储Session。
系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。
防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。
'''
劣势
'''
jwt一旦发送不能撤回发送的信息
不能防止CSRF攻击等
'''
jwt格式分为三部分组成,header,playload,sign
header就是json格式 {"typ":"JWT","alg":"HS256","exp":1491066992916},typ表示类型为jwt格式,alg表示加密方式为hs256,exp表示时间
playroad是请求体,根据业务自行定义,可以是一个字典一个列表,一个字符串
sign表示签名的生成
加密原理:
把header和playload分别使用base64url编码,接着用'.'把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用'.'连接起来就生成了整个JWT
解密原理:
后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,
如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值
校验原理:
整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上
itsdangerous是python基于jwt的实现的,我们可以用第三方库来实现
itsdangerous安装
pip install itsdangerous
Signer(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)
# 签名加密/解密 from itsdangerous import Signer s = Signer('rainbol') # 设置盐值 res = s.sign('me').decode() # 设置签名 print(res) # me.OJZBr7m8IGARJ0qzK07wdy9xAJM 返回一个签名.字符串 print(s.unsign('me.OJZBr7m8IGARJ0qzK07wdy9xAJM').decode()) # 解签 返回me ,如果中间任意字符串不正确都会报错
TimestampSigner(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)
# 带时间签名加密/解密
from itsdangerous import TimestampSigner s = TimestampSigner('rainbol') # 设置盐值 string = s.sign('123') # 加签 print(string.decode()) # 返回123.XNkPLg.Qr0E6jJvj7-tg40SBtC0kunkM1w res = s.unsign(string, max_age=20) # 解签 max_age设置过期时间20秒 print(res.decode()) # 返回123 ,如果中间任意字符串不正确或者超过max_age时间都会报错
Serializer(secret_key, salt='itsdangerous', serializer=None, signer=None, signer_kwargs=None)
# 序列化 from itsdangerous import Serializer l = Serializer('rainbol') # 设置盐值 re = l.dumps(['1314', '2233']) print(re) # ["1314","2233"].V2vY21tK5Nc8wYP6rlY9-F2zhH0 print(l.loads(re)) # ['1314', '2233'] 如果不正确会报错 # 如果需要加入时间戳,需要加入TimedSerializer,用法和TimestampSigner一致
# url安全序列化 from itsdangerous import URLSafeSerializer l = URLSafeSerializer('rainbol') re = l.dumps(['122', '2233']) # 返回 WyIxMjIiLCIyMjMzIl0.SujNVMlTr3RTkuQIHIRjl1R7tTs 序列化更加安全,其他一致
# jsonweb签名 from itsdangerous import JSONWebSignatureSerializer s = JSONWebSignatureSerializer('rainbol') # 设置盐值 res = s.dumps({'rainbol': '123456'}) # 设置加密字典 print(res.decode()) # eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHeTSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg res = s.loads('eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHe' 'TSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg', return_header=True) # 解密字典 print(res) # 返回{'rainbol': '123456'} 如果中间任意字符串不正确都会报错
在实际开发过程中用以下方法即可
#带有时间的jsonweb签名 import itsdangerous salt = 'saO)(&)H' # 设置盐值 t = itsdangerous.TimedJSONWebSignatureSerializer(salt, expires_in=600) # 指定参数,第一个是盐值,第二个是TTL加密过期时间 res = t.dumps({'username': 'rainbol', 'password': '123456'}) # 设置加密的字典 print(res.decode()) # 取加密信息 session = 'eyJhbGciOiJIUzUxMiIsImlhdCI6MTU1NzcyNzM4NywiZXhwIjoxNTU3NzI3OTg3fQ.eyJ1c2VybmFtZSI6InJhaW5ib2wiLCJwYXNzd29yZCI6IjEyMzQ1NiJ9.5r2_YYH06HLCW9Ix7EB5UGpk0wPD8RmWib0EoD9lgZIaRHEaH-qrMfQeKPriQNplD1gNLMM2Dn9NX-zoSz20Gg' res = t.loads(session)#解析加密信息,如果加密信息不正确会报错 print(res)
参考https://blog.csdn.net/weiker12/article/details/68950279
版权声明:本文原创发表于 博客园,作者为 RainBol 本文欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则视为侵权。